交换机 路由器 防火墙asa 安全访问、配置 方式

这里交换机 路由器 暂时统称为  网络设备

我们一般管理网络设备采用的几种方法

一般来说，可以用5种方式来设置路由器：

1. Console口接终端或运行终端仿真软件的微机（第一次配置要使用此方式）

2. AUX口接MODEM，通过电话线与远方的终端或运行终端仿真软件的微机相连；

3. 通过Ethernet上的 telnet 程序或 ssh程序；

4. 通过Ethernet上的TFTP服务器；

5.通过Ethernet上的SNMP协议网管工作站；

6.通过 https 网页 配置网络设备

7.通过 ASMD 等可视化程序 配置网络设备

路由器 特权密码的设置：
使能密码配置：：enable secret 123就行了。
普通密码配置是：enable password 123，但是这种方法会在show的时候看到，而enable secret就不会被看到。 如果两种都配置，会使用secret这个，优先级高。

一.终端设备通过（console线） 连接 网络设备的 console端口 

 

 

        必须使用翻转线将路由器的Console口与计算机的串口/并口连接在一起，这种连接线一般来说需要特制，根据计算机端所使用的是串口还是并口，选择制作RJ-45-to-DB-9或RJ-45-to-DB-25转换用适配器。

配置console 访问密码

cisco>enable
cisco# config terminal
cisco(config)# line console 0            切换为控制台0号 线路配置模式
cisco(config)# password  密码           设置密码
cisco(config)# login                              将控制台线路设置为登陆需要输入口令 才能访问(否则即使设置密码也不需要输入)
cisco(config)# logging synchronous          使命令输入时，不会被系统弹出的打印信息中断
cisco(config)# exec-timeout 0 0              超时自动注销时间 意思是0分0秒
cisco(config)#end

取消控制台密码登陆设置：

cisco>enable
cisco#config terminal
cisco(config)#line console 0 
cisco(config)# no password      移除密码
cisco(config)# no login               取消登陆密码设置     如果未设置密码，仍然要求登陆login，则用户将无法访问

二.辅助线路访问（aux）
        在默认情况下，网络设备的辅助端口对于远程设备访问不需要密码，一般情况下使用拨号modem连接aux端口。

当需要通过远程访问的方式实现对路由器的配置时，就需要采用AUX端口进行了。AUX其实与上面所讲的接口结构与RJ-45一样，只是里面所对应的电路不 同，实现的功能也不同而已，根据Modem所使用的端口情况不同，来确定通过AUX端口与Modem进行连接所也必须借助于RJ-45 to DB9或RJ-45 to DB25的收发器的选择。

配置vty访问密码

cisco>enable
cisco#config terminal
cisco(config)#line aux 0             对aux0号 线路进行配置
cisco(config)#password 密码     设置密码
cisco(config)#login                       将控制台线路设置为登陆需要输入口令 才能访问(否则即使设置密码也不需要输入)
cisco(config)#end

取消同上

三.虚拟终端访问（SSH、Telnet）

这是最主要、最常见的方法。

vty端口用于远程访问设备，使用vty端口可执行所有配置选项。
telnet是网络设备上支持vty的默认协议，默认传输方式。

配置vty的连接方式
Router> enable 
Router# configure terminal 
Router(config)# line vty 0 15                 配置 0—15 号虚拟线路
Router(config-line)# transport input ? 连接服务器的数据协议
all All protocols                        全部包含
none No protocols 
ssh TCP/IP SSH protocol      ssh加密传输
telnet TCP/IP Telnet protocol telnet 无加密传输

对 Telnet 进行配置：
（使用telnet进行配置时，设备必须设置 enable密码，否则无法进入特权模式
提示：No password set）

此时在RouterA 通过telnet连接 RouterB 查看状态
RouterA# show session   查看本机连接的远程主机
RouterB# show user         查看连接到本机的 机器（用户）

对ssh进行配置：

Router (config)# hostname cisco                            1. 设置设备名称和用户
Router (config)# username admin secret mypassword 
Router (config)# ip domain-name yunming            2.必须设置一个域名
Router(config)# crypto key generate rsa （modulus 加密位数）           
                                                                                        3.在路由器上产生一对RSA密钥就会自动启用SSH.   
                                                                                            如果你删除这对RSA密钥，就会自动禁用该SSH服务
  使用line vty 线路模式 
  Router(config-line)# transport input ssh                4.选择入向ssh模式                                                                       
  Router(config-line)# login local                                启用本地用户数据库

Router(config) #ip ssh ?                                             5.其它设置
authentication-retries    Specify number of authentication retries 允许用户认证尝试的最大次数
time-out        Specify  SSH time-out interval                                          配置SSH登入超时时间
version     Specify protocol version to be supported                        ssh的版本

查看ssh秘钥 
show crypto key mypubkey rsa

查看SSH信息

Router# show ssh 查看ssh连接状态
Router# show ip ssh 查看ssh配置

配置vty访问密码

cisco>enable
cisco#config terminal
cisco(config)#line vty 0 15 对vty0到15号 线路进行配置（最大允许16个人同时登陆，VTY线路的编号）
cisco(config)#password 密码 设置密码
cisco(config)#login（local）将控制台线路设置为登陆需要输入口令 才能访问(否则即使设置密码也不需要输入)
                                                  如果设置 local 则指明使用本地数据库进行身份验证，将要输入 用户名 和 密码

取消控制台密码登陆设置：
cisco>enable
cisco#config terminal
cisco(config)#line vty 0 15 对vty0到15号 线路进行配置（机器型号 ios版本不同 支持虚拟线路数量也不同）
cisco(config)# no password 移除密码
cisco(config)# no login 取消登陆密码设置 如果未设置密码，仍然要求登陆login，则用户将无法访问

配置vty允许访问ip
使用   access-list 编号 控制列表定义源ip地址。
cisco>enable
cisco#config terminal
cisco(config)#line vty 0 15 
cisco(config)#access-class 编号 in/out

四.通过Ethernet上的TFTP(ftp)服务器

1.首先要创建一台TFTP服务器，可以在局域网络内

2.TFTP中可以保存 路由器的  配置文件（备份）

3.TFTP中可以保存 路由器的 IOS镜像 （备份）

4.开机引导时直接从 TFTP 加载 IOS

2.TFTP中可以保存 路由器的 配置文件
（备份）
copy running-config tftp://192.168.0.1 /mybackfile.txt

（恢复配置文件）
IOS# copy tftp startup-config    （这是一个替换的过程）
IOS# copy tftp running-config   （这是一个合并的过程）

3.TFTP中保存 路由器的 IOS

（备份）
IOS# copy flash tftp

（恢复配置文件）
IOS# copy tftp flash

4.（设置开机引导时 从TFTP 加载 IOS）
Router(config)# boot system  tftp://.....

五.通过SNMP协议网管工作站

出于远程管理路由器的基本需要，每一个网络管理员都必须配置路由器使之可以使用简单网络管理协议(SNMP)。简单网络管理协议(SNMP)提供了远程监控功能，在Cisco路由器中包含了一个SNMP代理和管理信息库(MIB)。它使用网管服务器作为入口点实行网络管理控制，可以配置路由器向网管服务器发送管理信息。因为需要通过网络远程访问管理路由器，因此带来了许多的安全风险。对此，在进行配置时必须确保仅有授权用户能够使用它。
1．配置路由器能够使用SNMP的基本命令
snmp-server community public RO
允许任何提交共用字符串(community string)为public的服务器端软件进行读访问。
snmp-server community private RW
允许任何提交共用字符串为private的服务器端软件进行读和写访问。
        为共用字符串选择强壮的口令是非常重要的。上述例子中的public和private这样的共用字符串是十分普遍的口令，用户在配置自己的设备时应放弃使用它们。此外，如果可能的话，应该避免对所有的路由器使用相同的共用字符串，尽量为每一个设备使用不同的共用字符串。不要让只读共用字符串与读/写的共用字符串相同，同时还要定期更改口令。
2．配置能访问路由器的管理服务器
3．配置路由器向网管服务器发送报警信息
使用SNMP的trap性能，当有人试图用不正确的共用字符串发送SNMP指令时，路由器可以向网管服务器发送报警信息，但需要网管服务器上安装有CiscoWorks或类似的软件。
snmp-server enable traps
配置路由器使用trap，如果不被激活，没有trap向前转发。
snmp-server trap-authentication
配置路由器如果共用字符串的验证失败，发送一个trap。
snmp-server host 159．226．244．20 
配置路由器向指定主机发送trap。

六.通过 https 网页 配置网络设备

Cisco IOS的这种特征使得通过浏览器实现对路由器的访问管理，这对那些更习惯于使用浏览器界面的用户是很有益的。
     http是一个使用T C P作为传输协议的客户/服务器应用，客户机运行浏览器应用程序，例如Netscape Navigator或Microsoft Internet Explorer，网络客户机向运行h t t p后台程序的h t t p服务器发出请求，这些从浏览器向h t t p服务器发出的请求通常发生在T C P端口8 0。

注意：所有配置都是在全局配置模式下进行的

首先，启用web server 响应服务
ip http server

那用WEB访问的用户名是什么？

默认的是cisco，不过可以设置的

需要设置一个15级的用户

username xxx pri 15 pass xxx

附：过程命令汇总

IP http server：这个全局命令使得路由器可以响应浏览器通过网络发出的请求。
IP http port：这个全局命令是用来改变路由器用于接收http请求的TCP端口号，默认http使用TCP8 0端口
username xxx pri 15 privilege xx(0-15)：这个命令是设置一个15级的web访问用户及其密码

IP http access class：这个命令可以用来控制哪台浏览器主机可以通过HTTP请求获得对路由器的访问权。

七.通过 ASMD 等可视化程序 配置网络设备
    ！！！主要配置asa设备，其命令与路由器命令不同！！！

其过程其实也是通过 http配置网络设备，只是通过JAVA虚拟机软件在本地运行一个程序（如asdm）来配置。

（这是asa设备上的命令）

ciscoasa>

ciscoasa> en

Password:

ciscoasa# conf t                                                                                        进入全局模式

ciscoasa(config)# webvpn                                                                         进入WEBVPN模式

ciscoasa(config-webvpn)# username cisco password cisco                      新建一个用户和密码

ciscoasa(config)# int m 0/0                                                                       进入管理口

ciscoasa(config-if)# ip address 172.16.0.1 255.255.255.0                       添加IP地址

ciscoasa(config-if)# nameif guanli                                                             给管理口设个名字

ciscoasa(config-if)# no shutdown                                                              激活接口

ciscoasa(config)#q                                                                                    退出管理接口

ciscoasa(config)# http server enable                                                         开启HTTP服务

ciscoasa(config)# http 172.16.0.0 255.255.255.0 guanli                           在管理口设置可管理的IP地址

ciscoasa(config)# show run                                                                       查看一下配置

ciscoasa(config)# wr m                                                                              保存

经过以上配置就可以用ASDM配置防火墙了。

防火墙配置远程线路访问密码的方式：

asa825(config)# passwd 密码             （防火墙不存在line 线路配置模式了）

对asa设备进行配置  telnet 
ssh 方式

ASA的配置方式：

1.console

2.Telnet

3.SSH

4.HTTPS(ASDM)

认证方式:

1.LOCAL

2.Radius

3.TACACS+

4.LDAP

Telnet

telnet 192.168.1.100 255.255.255.255 inside

telnet 172.16.1.100 255.255.255.255 mgmt

telnet 0 0 DMZ

1.外部接口上不支持Telnet，除非该会话通过了IPsec隧道的加密

2.默认密码cisco(使用passwd（注意不是password而是passwd）命令修改默认密码)

3.默认enable密码：空（使用enable password命令修改默认enable密码）

4.用本地用户认证

username admin password cisco privilege 15

aaa authentication telnet console LOCAL(全部大写)

5.ASA可以作为Telnet的服务器，但是不能作为telnet客户端（ASA不能使用telnet命令）

SSH

hostname ASA

domain ccie.com

crypto key generate rsa （ modulus  加密位数）

ssh 10.1.1.1 255.255.255.255 inside
ssh 0 0 DMZ
ssh timeout 30           //设置超时时间,单位为分钟
ssh version 1              //指定SSH版本,可以选择版本

1.ASA支持用户在外部接口上接收SSH会话，所以在通过外部网络远程网管ASA设备必须使用SSH，不能使用telnet

2.默认用户名是pix

3.默认密码是cisco（使用passwd修改默认密码）

4.用本地用户认证

username admin password cisco privilege 15

aaa authentication ssh console LOCAL